autorun.inf のキャッシュを削除する

Windowsではautorun.infの情報をキャッシュする仕組みがあり、過去に1度でも接続されたデバイスの情報を記録しているという。そのためキャッシュが残った状態でAutoRunを無効にしても、依然としてAutoRunを経由したワームの拡散が発生する危険性があると説明する。その場合、下記のレジストリキーを完全に削除して対策を行う必要がある。ただし、レジストリキーの削除でAutoRun機能そのものが削除されることになるので、実行にあたっては注意してほしい。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

WindowsのAutoRunワーム拡散問題、US-CERTが対策方法含め新たな警告

AutoRun の無効化

下記のテキストをメモ帳(Windows Notepad)にコピーして「autorun.reg」の名前で保存し、実行するだけでいい。Windowsを再起動した時点でAutoRun機能が無効化される。

WindowsのAutoRunワーム拡散問題、US-CERTが対策方法含め新たな警告

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

ディバイス種類ごとの AutoRun の無効化

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

NoDriveTypeAutoRun レジストリ エントリの設定は以下。

※HKEY_LOCAL_MACHINE と HKEY_CURRENT_USER と両方ある。

※むかし、ドライブごとにON/OFFを設定できるのもあった気もするけど…